Objets connectés de santé : Référentiel de bonnes pratiques

Objets connectés de santé : Référentiel de bonnes pratiquesLa Haute Autorité de santé publie un référentiel de bonnes pratiques sur les applications et objets connectés en santé.

Ce référentiel ou guide, publié en octobre 2016, a pour objet de guider, promouvoir l’usage et renforcer la confiance dans les applications et les objets connectés dans le domaine de la santé (1).

Il s’adresse à la fois aux industriels et aux évaluateurs, qu’il s’agisse de structures d’évaluation, d’associations de consommateurs ou encore de sociétés savantes médicales.

Il concerne les objets connectés qui n’ont pas de finalité médicale déclarée, mais la zone « grise » des applications ou objets connectés ayant un effet potentiel sur la santé, sans avoir le statut légal de dispositif médical.

Néanmoins, il ne concerne pas les dispositifs médicaux au sens de la directive 93/42/CEE, qui exige leur marquage CE, ne se substitue pas à la réglementation en vigueur et n’est pas un outil en vue de l’admission au remboursement ni une recommandation professionnelle.

Le référentiel de bonnes pratiques est structuré en 5 domaines et 14 sous-domaines et regroupe 101 bonnes pratiques :

  • Informations utilisateurs :
    • Description ;
    • Consentement ;
  • Contenu de santé :
    • Conception de contenu initial ;
    • Standardisation ;
    • Contenu généré ;
    • Contenu interprété ;
  • Contenant technique :
    • Conception technique ;
    • Flux des données ;
  • Sécurité/Fiabilité :
    • Cybersécurité ;
    • Fiabilité ;
    • Confidentialité ;
  • Utilisation/usage :
    • Utilisation/design ;
    • Acceptabilité ;
    • Intégration/import.

L’évaluation par sous-domaines est fondée sur un référentiel didactique pour chaque domaine :

  • de tableaux de liste des critères, avec leurs intitulés et leur niveau d’exigence ;
  • de justification et d’exemple de chacun de ces critères.

Chaque partie est accompagnée d’arguments (fondement scientifique et/ou réglementaire), d’exemples illustrant le contenu attendu et les modalités de vérification et de références bibliographiques.

Il convient de souligner que la Haute Autorité de santé (HAS) a intégré dans son référentiel deux thématiques sur lesquelles elle s’estime moins légitime à intervenir qui ne correspondent pas aux enjeux stratégiques de la HAS que sont la protection de la vie privée et de la cybersécurité, en intégrant les contributions de l’Anssi (2) et de la Cnil (3).

Quelles perspectives pour ce référentiel ?

Les industriels et évaluateurs pourront désormais s’appuyer sur ce référentiel :

  • ab initio, au stade de la conception de l’application ou de l’objet connecté de santé ;
  • a posteriori, pour évaluer les applications et objets connectés de santé.

Ce référentiel s’inscrit dans le respect du Règlement général européen sur la protection des données (RGPD) qui érige les principes de privacy by design (protection de la vie privée intégrée dans le cadre de la conception de l’objet) et privacy by default (protection de la vie privée par défaut) au rang d’obligations légales.

En outre, ce document pourra tout aussi bien intégrer un référentiel contractuel de conformité à l’état de l’art.

Reste qu’en l’absence de contrôle du respect du référentiel, il faut que les acteurs se responsabilisent.

En attendant, des travaux sont toujours en cours concernant les applications et objets connectés en santé, la HAS précisant, au sein de son référentiel, qu’elle le complétera prochainement avec des documents à destination des utilisateurs : professionnels de santé et usagers.

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Droit Santé numérique

(1) Site de la HAS, « Référentiel de bonnes pratiques sur les applications et les objets connectés en santé ».
(2) Agence nationale de la sécurité des systèmes d’information.
(3) Commission nationale de l’informatique et des libertés.




Filtrage des flux HTTPS : Droit ou obligation ?

Filtrage des flux HTTPS : Droit ou obligation ?L’Agence nationale de la sécurité des systèmes d’information (Anssi) vient du publier une recommandation déterminante pour tous ceux qui s’interrogent sur le droit ou non de filtrer les flux https.

Mais au delà de l’intérêt que l’on peut porter à cette recommandations sur son aspect technique on remarquera qu’elle comporte une annexe juridique déterminante pour tous ceux qui se posent la question de savoir si cette pratique est légale ou non.

L’annexe juridique traite du délicat problème du filtrage flux entrants et sortants depuis les postes de travail fixes et nomades des salariés ou agents d’une entreprise ou d’une entité publique.

Impact. L’Anssi justifie cette démarche tout en rappelant que cette pratique n’est pas sans risque et doit être mise en œuvre avec discernement, dans le respect des obligations légales et singulièrement du droit des données personnelles et du respect de la vie privée des salariés ou agents publics.

L’Anssi légitime et il faut l’en féliciter, le filtrage des flux https au regard de la responsabilité particulière qui pèse sur l’employeur d’une part (article 1384 du code civil), la nécessaire protection de ses intérêts (données, secrets,..) ou encore l’obligation de lutter contre le téléchargement illégal.

Nombreuses sont les entreprises ou les acteurs publics qui aujourd’hui pratiquent un tel filtrage mais qui, faute de cadre juridique, ne rendent pas cette pratique « officielle ». Or les jurisprudences les plus récentes de la Cour de cassation rappellent que tous les outils de cybersurveillance déployé sans respecter les règles essentielles (informations des personnels et déclaration Cnil s’il y a lieu) sont inopposables aux collaborateurs de l’entreprise.

Pour d’autres, la majorité sans doute, ce type de filtrage n’a pas été déployé faute de règles l’autorisant clairement.

Actions. Tout en légitimant l’usage de ce type d’outils, l’Anssi rappelle quelques règles simples :

  • Le principe de proportionnalité. Il faut en effet s’assurer du besoin et ne pas filtrer tout et n’importe quoi, par principe … Une analyse d’opportunité amont s’avère donc nécessaire ;
  • Le principe de transparence et l’information préalable nécessaire des collaborateurs de l’entreprise – il convient ici de modifier la charte des systèmes d’information en conséquence ;
  • La nécessité de prévoir des mécanismes de protection de la vie privée résiduelle des salariés ou des agents ;
  • La nécessité de responsabiliser les administrateurs de ce type d’outil. L’Anssi rappelle ici l’importance de disposer d’une charte administrateur ;
  • Le respect des obligations issues de la loi informatique et libertés et donc l’obligation de satisfaire a minima aux démarches préalables et de satisfaire au légitime droit d’accès du salarié ou de l’agent public.

Question. Depuis la publication de cette recommandation, la question n’est plus désormais de savoir s’il est légal ou non de déployer une solution de filtrage protocolaire, mais de s’interroger sur les dangers de ne pas le faire.

Il s’agit donc aujourd’hui de savoir si un tel filtrage est un droit ou s’il est devenu une obligation …

Polyanna Bigle




Assises de la sécurité et des systèmes d’information 2013 : lecabinet est présent !

sécuritéAlain Bensoussan participe à la 13ème édition des Assises de la sécurité et des systèmes d’information, qui se déroulent au Grimaldi Forum à Monaco du 2 au 5 octobre 2013. Les Assises de la sécurité sont un événement très attendu par les décideurs des SSII (RSSI, DSI, DI, Risk managers, Correspondant Informatique et libertés) qui peuvent, lors de conférences plénières, de tables-rondes entre experts et d’ateliers thématiques, échanger sur les problématiques majeures de sécurité informatique, tant nationales qu’internationales.

Alain Bensoussan intervient dans le cadre d’une table ronde portant sur le thème « Le DPO : nouvelles missions, nouvelles responsabilités », afin de préciser le rôle, les qualifications et les obligations du correspondant Informatique et libertés (Cil) en regard des dispositions du projet de règlement européen sur la protection des données.

Le DPO (Data Protection Officer) va en effet devenir un acteur incontournable de la conformité relative à la protection des données. Les entreprises doivent ainsi d’ores et déjà connaître les contours des obligations et les challenges qui vont être pris afin d’intégrer ce nouvel acteur. Donner les clés aux entreprises afin de permettre un passage en douceur lors de la promulgation du futur règlement. Les intervenants de ce débat partageront leur expérience et les best practices à implémenter, tels que des relais de DPO ou des procédures.




L’ANSSI publie ses recommandations pour la sécurité des sites web

sécuritéDans un contexte international de multiplication des attaques à l’encontre de sites web, l’ANSSI a publié le 22 avril dernier des recommandations (1) en matière de mesures de sécurité à adopter en prévention et en réponse aux différentes attaques susceptibles d’intervenir à l’encontre des sites web. Dans un premier temps, l’ANSSI met l’accent sur les précautions à prendre préalablement à la mise en œuvre des sites web pour renforcer leur sécurité contre les attaques.

A ce stade, elle recommande une série de mesures à déployer dès l’organisation de l’infrastructure du site web et de la conception de son code applicatif.

A titre d’illustration, l’ANSSI recommande que l’architecture matérielle et logicielle du site web respecte le principe de défense en profondeur, de limiter les composants applicatifs et d’administrer un site web via des protocoles sécurisés (HTTPS par exemple) uniquement par des administrateurs autorisés et authentifiés.

Concernant la configuration des systèmes d’exploitation et des services hébergeant les sites web, l’ANSSI recommande l’application du principe de moindre privilège à l’ensemble du système ou encore la limitation de la publication des informations relatives au fonctionnement technique du site web et la mise en place d’un filtrage réseau permettant le respect des règles restrictives régissant les flux.

L’ANSSI insiste également sur la prise en compte de la sécurité dans la conception du code applicatif du site web en distinguant différentes mesures préventives allant de la gestion des risques afférents aux entrées de données (injections SQL, attaque XSS, redirections, inclusions de fichiers, etc.) à la prise en compte de la sécurité lors de la conception de la logique du site web et notamment dans le cadre de la gestion des sessions, du stockage des mots de passe, de la protection contre les requêtes illégitimes ou encore de l’inclusion de contenus externes.

Enfin, l’ANSSI présente différentes précautions à prendre afin de permettre une meilleure réactivité en cas de survenance d’un incident de sécurité. A cet égard, elle recommande de contrôler la validité et la visibilité des points de contacts techniques associés au site et présente des mesures permettant une meilleure détection des incidents.

Parmi ces mesures, l’ANSSI insiste sur la surveillance du site web dans son intégralité, la définition d’une politique de journalisation ou encore l’adoption de réflexes en cas d’incident (collecte des informations permettant les investigations, vérification de la suppression des éléments malveillants avant remise en service du site web, correction des vulnérabilités).

Ces recommandations s’inscrivent dans le cadre des obligations de garantie de sécurité des données à caractère personnel prévues par la loi Informatique et libertés et le projet de règlement européen du 25 janvier 2012.

Les éditeurs de site web ont donc tout intérêt à intégrer ces éléments dans leur cahier des charges et réaliser un audit pour les sites existants.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique

(1) Recommandations ANSSI n° DAT-NT-009/ANSSI/SDE/NP du 22-4-2013.




Le management de la sécurité des SI normalisé par l’AFNOR

management de la sécurité Le management de la sécurité des SI enfin normalisé par l’AFNOR ! La norme NF ISO/CEI 27001 : 2007-12 homologuée par l’AFNOR le 14 novembre 2007 a été publiée pour prendre effet le 14 décembre 2007 (1).

Les exigences relatives au management de la sécurité

La norme spécifie les exigences relatives au management de la sécurité (établissement, mise en oeuvre, fonctionnement, surveillance, réexamen, mise à jour et amélioration d’un Système de Management de la Sécurité et de l’Information (SMSI) documenté, dans le contexte des risques globaux liés à l’activité de tout type d’organisme, public comme privé, y compris à but non lucratif.

Comme les normes ISO 9001 : 2000 et ISO 14001 : 2004, l’ISO 27001 : 2007 porte moins sur l’efficacité des dispositions mises en place que sur leur existence et la mise en place de facteurs d’amélioration selon le modèle PDCA (2).

Autrement dit, son objectif n’est pas de garantir un niveau de sécurité, mais de garantir que lorsqu’on l’a atteint, on le garde ! Elle encourage ainsi l’adoption d’une approche « processus » pour l’établissement, la mise en oeuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration d’un SMSI.

Elle applique les principes de la qualité à la sécurité de l’information et constitue un référentiel précis et auditable permettant d’apporter la confiance nécessaire au développement du commerce en ligne.

La norme 27001 : 2007 présente de nombreux avantages. Mais il en est un auquel on ne saurait rester insensible : sa valeur légale. La norme prévoit en effet, l’obligation pour l’entreprise de tenir compte non seulement des exigences liées à son activité mais également « des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles » [voir 4.2.1b)].

Management de la sécurité et méthodologie

Pour cela, l’entreprise doit identifier une méthodologie d’appréciation du risque adaptée à son SMSI, ainsi qu’à la sécurité de l’information identifiée et aux exigences légales et réglementaires [voir 4.2.1c)].

Ensuite, les objectifs de sécurité et les mesures de sécurité proprement dites doivent être sélectionnés et mis en oeuvre pour répondre aux exigences identifiées par le processus d’appréciation du risque et de traitement du risque.

Cette sélection doit tenir compte des critères d’acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles [voir 4.2.1g)].

Enfin, la norme décrit des procédures de preuve et d’enregistrements formels permettant de faciliter la constitution des dossiers de preuves et de préjudice.

(1) NF ISO/CEI 27001 : 2007-12
(2) « Planifier-Déployer-Contrôler-Agir » ou roue de Deming

Paru dans la JTIT n°71/2007

(Mise en ligne Décembre 2007)

Autres brèves

(Mise en ligne Juillet 2007)

(Mise en ligne Mars 2006)